Grunnleggende Linux Pam -moduler

Tobias Andresen
Grunnleggende Linux Pam -moduler
Linux Pam er et kraftig API som kommer med flere fordeler. For det første gir den en standard autentiseringsskjema som kan brukes på tvers av forskjellige applikasjoner. Det gir også uslåelig fleksibilitet for både applikasjonsutviklere og systemadministratorer. Endelig muliggjør Linux Pam utvikling av programmer uten nødvendigvis å lage sine respektive autentiseringsprotokoller.

Som enhver typisk autentiseringsprotokoll, er det å bruke PAM på å forstå en rekke konsepter. PAM -komponentene du bør internalisere og master inkluderer kontrollgrupper og kontrollflagg.

Spesielt har Linux Pam fire administrasjonsgrupper som hver bruker skal vite. De inkluderer:

  • Auth Group - De hjelper til med å validere brukerne. De bekrefter brukernavnet, passordet og andre autentiseringsdetaljer.
  • Kontogruppe - De kontrollerer tilgangen til en tjeneste eller et program som antall ganger du skal få tilgang til eller bruke en tjeneste. De kontrollerer også de andre forholdene som utløp av kontoer og tid.
  • Session Group - Denne gruppen tar ansvaret for servicemiljøet, spesielt ved å starte og avslutte en økt.
  • Passordgruppe - Denne gruppen kommer til nytte når du oppdaterer passordene.

For kontrollflagg vil du finne de nødvendige, nødvendige, tilstrekkelige og valgfrie kontrollflaggene. Som navnet antyder, kontrollerer kontrollflagg tilgangen til programmer basert på oppførselen til hver kontrollflaggtype.

Bortsett fra de to komponentene, er en annen betydelig PAM-komponent som du bør vurdere PAM-modulene-og det er dette denne artikkelen vil håndtere. Denne artikkelen vil definere de forskjellige PAM -modulene og vil gi levedyktige illustrasjoner eller eksempler.

Men før vi ser på modulene, la oss se på rekkefølgen på PAM -moduler.

Moduler bestill

Rekkefølgen på PAM -moduler er viktig, ettersom hver modul avhenger av den forrige rollen på bunken. Så en konfigurasjon som i følgende skjermbilde vil enkelt tillate deg å logge inn:

Bestillingen i følgende skjermbilde er imidlertid feil og vil ikke gi deg en tilgang:

Topp 10 grunnleggende PAM -moduler

Følgende Pam -innebygde moduler finnes i systemene dine, og du bør være kjent med hver av dem for riktig bruk av Linux Pam:

1. PAM_SUCEDED_IF -modulen
Denne modulen kontrollerer tilgangen til brukere og grupper. For eksempel kan du validere brukerkontoer ved å bruke denne kommandoen:

Det forrige eksemplet betyr at bare brukerne hvis ID -er er 1000 eller 3000 kan logge inn.

Et annet eksempel er som i følgende kommando:

Det forrige eksemplet spesifiserer at bare brukerne med bruker -ID -ene som er lik eller større enn 2000, kan få tilgang til tjenesten eller programmet.

Et eksempel på å bruke en inngruppeparameter er som sett i følgende:

2. pam_deny modul

Pam_deny -modulen brukes ofte for å nekte eller begrense en tilgang. Når den brukes, vil modulen returnere et ikke-OK-resultat ved behandling. Å bruke denne modulen på slutten av modulbunken din beskytter eventuell feilkonfigurasjon. Å bruke den i begynnelsen av en modulstabel vil imidlertid deaktivere tjenesten din, som sett i følgende figur:

Interessant nok kan du bruke denne modulen med Konto, Auth, Passord, og økt Ledelsesgrupper.

3. PAM_ACCESS -modul
PAM_ACCESS -modulen er en annen modul som du kan bruke med alle administrasjonsgruppene. Den fungerer på samme måte som PAM_SUCEDED_IF -modulen. PAM_SUCEDED_IF -modulen sjekker imidlertid ikke påloggingsdetaljene fra de nettverksvertene, mens PAM_ACCESS -modulen fokuserer på det.

Du kan deretter skrive tilgangsreglene som sett i følgende figurer:

Og

Reglene sier at bare brukerne innen Linhinttecks ​​kan logge inn. + Og - tegnene i regelen tillater og nekter henholdsvis. Denne modulen er også brukbar med alle ledelsesgruppene.

4. pam_nologin -modul
Denne modulen er selektiv og lar bare roten logge inn hvis filen eksisterer. I motsetning til i de tidligere modulene, som du kan bruke med alle styringsgruppene, er denne modulen bare brukbar med Auth og regnskap Ledelsesgrupper.

5. PAM_Cracklib -modul
Cybercrime er på vei opp, og sterke passord er obligatoriske. Denne modulen angir reglene for hvor sterke passordene dine kan få. I det følgende eksempel gir modulen deg opptil 4 sjanser til å velge en sterk passordfeil som den vil avslutte. Igjen bestemmer modulen at du bare kan velge et passord på 12 eller flere tegn.

6. PAM_LOCALUSER MODUL
Denne modulen brukes ofte til å sjekke om en bruker er i /etc /passwd. Du kan bruke denne modulen med alle ledelsesgruppene inkludert Auth, passord, økt, og regnskap.

7. PAM_ROOTOK -modulen
Bare root -brukerne kan kjøre denne tjenesten siden den sjekker om uid er 0. Dermed kommer denne modulen godt med når en tjeneste bare er dedikert til rotbrukerne. Det er brukbart uten noen annen ledelsesgruppe bortsett fra Auth Management Group.

8. PAM_MYSQL -modul
Du kan bruke PAM_MYSQL -modulen for å validere brukerne i stedet for å sjekke legitimasjonen deres mot /etc /skyggen. Det er brukbart å validere brukerne med PAM_MYSQL -parametrene. Du kan installere den ved hjelp av følgende kommando hvis du ikke har den i systemet ditt. Dette er en annen modul som du kan bruke med alle ledelsesgruppene:

9. PAM_LIMITS MODUL
Hvis du trenger å sette grensene for systemressursene dine, er PAM_LIMITS -modulen det du trenger. Denne modulen påvirker alle, inkludert rotbrukere som bruker begrensningskonfigurasjonsfilen som er tilgjengelig i/etc/sikkerhet/grenser.d/ katalog. Det er gunstig å beskytte systemressursene og er bare brukbar i økt Management Group.

Grensene som er satt i/etc/sikkerhet/grenser.Conf -filen kan enten være hard eller myk. Bare root -brukerne kan endre grenseverdien i harde grenser, mens de vanlige brukerne ikke kan. På den annen side kan til og med vanlige brukere også endre grenseverdien.

Igjen kan grenser klassifiseres som CPU, FSIZE, DATA, NPROC og mange flere. Et godt eksempel vises i følgende figur:

Den første grensen for Linhintadmins -medlemmene setter antall prosesser for hvert medlem på 30. På den annen side er den andre grensen for Linhintechs -medlemmene og setter CPU -varigheten for dem på 4000 minutter.

10. PAM_RHOSTS -modulen
Den utfører standard nettverksgodkjenning for tjenester og programmer som ofte tradisjonelt er implementert i RSH og Rlogin, blant andre. De tre tilgjengelige alternativene inkluderer feilsøking, superbruker og stille. Det er bare brukbart med Auth Management Group og funksjoner i følgende eksempel:

Konklusjon

Det bringer oss til slutten av denne artikkelen. Forhåpentligvis vil de ti grunnleggende Linux Pam -modulene vise seg å være nyttige i reisen din for å lære og bruke PAM.

C skarp
Hva er forskjellen mellom klasse og objekt i C#
En klasse er en blåkopi eller mal som definerer egenskapene og atferden til en bestemt type objekt. ...
Elias Krogh Svendsen
Debian
Hvordan konfigurere Apache -webserveren på Debian
For å konfigurere Apache -webserveren på Debian, installer og konfigurer Apache -serveren, konfigure...
Erik Røed
C ++
Hvordan bruke inline -funksjoner i C ++
Inline -funksjon refererer til å sette en funksjons kode på stedet der funksjonssamtalen blir gjort ...
Simen Stensrud
Python
Seaborn Axis -etiketter
Daniel Johnsen
Salesforce
Salesforce Apex - liste
Elias Aalerud Aasen
Aws
Hva er batchprosess og hvordan du bruker den i AWS?
Simen Ødegård
Oracle Database
Er Oracle -database som ligner på MySQL -databasen? | Forklart
Lars Solberg
html
Hvordan legge til og spille av videoer på en webside ved hjelp av HTML?
Daniel Berntsen
Aws
Hvordan bruke AWS Systems Manager Session Manager?
Daniel Johnsen
Kraftskall
Hvordan bruke kommandoen “Get-Service” i PowerShell
Mathias Halvorsen
Git
Hvordan fungerer Git?
Elias Aalerud Aasen
PHP
Hvordan sjekke om en matrise er tom i PHP?
Tobias Andresen
C ++
Hvordan bruke subtraksjonsoppgaveoperatør i C ++
Martin Berge